|
|
http://softbbs.pconline.com.cn/10273556.html
: j9 L% _ N# D! X4 b
# Y8 s: z7 K8 T4 ~/ {4 V5 W
" ]: f0 ^4 \( ?5 Z5 O. h! a% l# s( s绿X分析报告完整**版!为您解析绿X工作过程
9 q; ~2 u( B! Y7 a3 T, X软件版本为3.17
/ W) {- l# m) ^ l% j. O5 s+ e; V' A I$ V+ l
绿X采用打包式安装程序,安装程序的EXE文件被执行之后,会在temp目录下随机生成临时文件夹,释放安装文件。
5 n A. f, T9 |) r4 {. _
, H7 g0 ?/ ~- [$ `; o- Show quoted text -6 \5 c9 g! a8 Q
然后调用该目录下setup.exe开始安装。/ m8 N- w) n! u
绿X安装在system32目录下,安装共写入包括windows、system32、inf、drivrs等系统关键目录在内的12个目录110个文件,文件列表如下:
8 d1 E" K( Y. T2 T,1,system32RunAfterSetup.exe,9,0,32 s8 s+ ?: v5 C& m& {
,2,system32sys.dat,9,0,32
& T% K. d' S2 p4 V,3,system32poppo.dll,1,0,327 t2 o" m7 |, \
,4,system32sysEx.dat,1,0,32
) p- m/ Y6 [) W, w# Q,5,system32appface.dll,1,0,32# C1 z) ^* P" Y* P/ U! y0 M; C i9 ?
,6,system32xabout.dat,1,0,323 D d- ^& O0 X3 Z( R! H- U
,7,system32x100.dat,1,0,32
4 c1 S0 Y$ [: D3 `/ A/ l,8,system32x200.dat,1,0,32
+ @( Y9 Z8 X" b+ E+ M6 @,9,system32x300.dat,1,0,32& J" X! d# b( `+ U: Z
,10,system32x400.dat,1,0,32! ^/ X8 Q4 p! S" M
,11,system32xnet2_lang.ini,9,0,32& L r9 ^" ` L$ f+ o
,12,system32bnrfil.dat,1,0,322 W: D5 O# z) W+ u/ G& g
,13,system32bsnlst.dat,1,0,32
6 m9 z1 d* C( Z, k2 ~ O,14,system32csnews.dat,1,0,32" i( W2 K4 Z- `/ _# D) W
,15,system32gdwfil.dat,1,0,32+ i/ B9 L8 `" r u( L4 H$ p i
,16,system32TrustUrl.dat,1,0,32
8 }' N6 J" c- P' ^,17,system32wfileu.dat,1,0,32
$ ?" [0 F4 D; {8 b,18,system32xwordh.dat,1,0,32
! ^: L/ O$ K! k; _8 e4 q$ Y" V,19,system32xwordl.dat,1,0,32( u6 R! p$ M! G
,20,system32xwordm.dat,1,0,32
8 s: D2 x" {+ l, z,21,system32auctfil.dat,1,0,32( X; } w Y% R: n
,22,system32chtfil.dat,1,0,320 h7 e& ~/ b( v. I9 w- G0 T
,23,system32cultfil.dat,1,0,32
& i n1 O D% T: l,24,system32entfil.dat,1,0,324 J6 k" l3 t; p' I4 \2 T
,25,system32finfil.dat,1,0,328 s B8 U5 ]9 ~6 s/ J' t- H
,26,system32fmfil.dat,1,0,32+ @7 x& \' F5 l4 H) T6 i7 y
,27,system32fshrfil.dat,1,0,32
6 x3 X: k8 W6 h8 _* ?,28,system32gblfil.dat,1,0,328 F9 e! o7 A$ W/ E5 @* z r
,29,system32gnfil.dat,1,0,32
) i9 v. S' z, J4 w,30,system32hatfil.dat,1,0,32% J6 `' _2 y& i; o( |
,31,system32iawfil.dat,1,0,322 k! b' T3 I/ P$ t P: ^' N
,32,system32imgfil.dat,1,0,32
6 Q; ?7 c* v S3 } j% _. N. X,33,system32jbfil.dat,1,0,32! z& K7 s% V. t" i: g& V$ m; |
,34,system32lgwfil.dat,1,0,32
: ]* M/ w2 J3 b& |! f9 w- V" d! \,35,system32movfil.dat,1,0,328 {. q" O; e; t) v( ?0 r% b
,36,system32mp3fil.dat,1,0,32: l) |; S4 z. v4 d
,37,system32nvgamfil.dat,1,0,329 Q F D7 @( a" {" Y. i7 [; X
,38,system32perfil.dat,1,0,32& g: Y% [/ _( Y( V( C. P
,39,system32picsfil.dat,1,0,32) }, j! O0 Q; _* p2 P( u! |& K! L
,40,system32pkmon.dat,1,0,328 S& l+ Z5 }2 G2 ]4 u
,41,system32popfil.dat,1,0,32
4 U$ g/ X" r7 L2 q( X3 k) l,42,system32psyfil.dat,1,0,321 d; D' a5 B0 R. ?+ M1 I
,43,system32sporfil.dat,1,0,327 r$ K6 z7 |% _0 H6 ]4 E/ y
,44,system32swfil.dat,1,0,32
. B& }* `7 k5 v. ~6 }# ?7 `,45,system32tafil.dat,1,0,32
2 Y/ Q# B9 g. [* s, G% a,46,system32tapfil.dat,1,0,32# Z' [& _6 u( o+ f0 E9 o
,47,system32vgamfil.dat,1,0,32
3 ]) {+ p0 ~/ i. p; o6 c,48,system32viofil.dat,1,0,32
/ _7 Q; ~4 {# Z! s, c) \,49,system32wrestfil.dat,1,0,32
- l- K" Q0 o! O1 L5 t( i, d,50,system32wzfil.dat,1,0,32; n. l$ |1 [6 q8 j
,51,system32adwfil.dat,1,0,32& A8 G! D. D. E6 ^" M7 O. N; f8 Z$ T
,52,system321.urf,1,0,322 J/ T/ D+ O) _
,53,system322.urf,1,0,32
& _) Q& f" ?1 Z/ m,54,system323.urf,1,0,32% [3 Y8 z( L5 `- G9 f! n1 t
,55,system324.urf,1,0,32
$ a6 O1 e; m$ Q" b, H$ a,56,system325.urf,1,0,32" u. R, U6 u. n8 _% `5 E/ i" |
,57,system326.urf,9,0,32
" Q8 \4 T) L0 W/ U- J9 u4 q$ Y,58,system327.urf,9,0,32
; D( D% g7 ]: ^' s& b1 c,59,system32goldlock.exe,9,0,32
' D# u4 A7 d% x/ v" h' P,60,system32filtport.dat,9,0,32
' B/ A# s' @9 ?' L a,61,system32x100.jpg,9,0,32+ m/ o- z/ E, o2 \! O" d2 t" j: Q
,62,system32x200.jpg,9,0,32
! b. u; M0 F) ]2 G, w,63,system32x300.jpg,9,0,32
% u5 n2 m3 y$ k3 g,64,system32x400.jpg,9,0,32' s1 B- p" i; @9 k: I! f" _" x
,65,system32x500.jpg,9,0,329 E, z4 V1 A8 X' O2 m' n
,66,system32win2kspi.reg,9,0,32+ L! g/ S. E3 s8 H8 c
,67,system32winxpSpi.reg,9,0,320 i& ?/ w8 d2 ^% P' c# k
,68,system32Win98Spi.reg,9,0,327 q, Z- T# f3 z$ B
,69,system32adwapp.dat,9,0,32
6 r5 x4 H' u9 p1 b) f9 c,70,system32XFimage.xml,9,0,327 m0 z# `( [1 q/ ?% B' N
,71,system32FImage.dll,9,0,32
# K( z" `; _4 ]0 |4 O,72,system32Xtool.dll,9,0,32, z0 [ x0 M/ T8 ~$ e8 r
,73,system32Xcv.dll,9,0,32 o7 J! k& K* L" y N7 \- s
,74,system32xcore.dll,9,0,32
8 E$ K8 s' l6 R/ r3 V,75,system32x600.jpg,9,0,32) m4 Z- P7 H3 p! _4 q9 K1 x3 S K4 ]
,76,system32wfile.dat,9,0,32! |# l1 y+ R0 U
,77,system32winvista.reg,9,0,32
5 L, u" o; Q, \' M+ p# y; F,78,system32IPGate.dll,9,0,32
% S$ c; M) t" P8 f1 y$ x,79,system32gn.exe,29,0,32
. ]; v* W: ~* C1 C) v,80,system32looklog.exe,29,0,32; ]% A7 Y0 B# {- ^4 E) C0 z1 d
,81,system32lookpic.exe,29,0,32
0 o2 b; q3 G5 G% J" g,82,system32xconfigs.dat,29,0,32
4 |4 Q: M0 D" D( n,83,system32XNet2.exe,29,0,32
5 g( s2 o7 W0 w,84,system32XDaemon.exe,29,0,32
6 s* ~+ Q0 o1 g0 M1 P; K9 v,85,system32kwdata.exe,29,0,32
1 m* ?4 v0 T' X,86,system32Update.exe,29,0,32
9 b. q2 u/ S& k' d" V,87,windowslogdesktop.ini,1,0,32: A4 |) f, P$ ?
,87,windowssnapdesktop.ini,1,0,32
. P6 U3 R, m4 u# I! O! o$ p3 c,88,windowshelpkw.chm,17,0,32* Y# q, ]* B/ A
,89,windowsHNCLIB**Word.lib,29,0,32
: j: `5 D* `" v1 b,90,windowsimage.dat,9,0,32
2 r8 q% E) [3 ~0 D,91,windowsimage1.dat,1,0,32
7 P4 e& d0 I6 E6 [5 S,92,windowsCardLib.dll,9,0,32
3 X# H @0 T+ i9 H* Z" J7 Z" G,93,windowscximage.dll,9,0,32: f5 q( f+ C# s( m' ~
,94,windowsdbfilter.dll,9,0,32
* A4 t+ ^% R1 h6 H,95,windowsSurfgd.dll,29,0,32
J3 K e6 M: f" |5 Q,96,windowsdbServ.dll,29,0,32
" |( b& p4 N0 w% `1 f H8 t,97,windowsCImage.dll,29,0,32
2 |$ t2 z) r% E: J& L* s8 w* R) I p,98,windowsHandler.dll,29,0,32
. W' f$ r" s/ R1 T0 c,99,windowsHASrv.dll,29,0,32" r# `- V" w2 j" b6 V. Z- l
,100,windowsHncEng.exe,29,0,32
p, k0 M* s' J& c5 E1 C+ m,101,windowsHncEngPS.dll,29,0,32
F# I# e8 b0 e,102,windowsInjLib32.dll,29,0,32" H) P k. ~" M7 p: l) {" K" @
,103,windowsMPSvcDll.dll,29,0,32
/ {+ H6 ]' }/ p4 ^; {,104,windowsMPSvcPS.dll,29,0,32
& R! s# k$ n( D6 u& q,105,windowsSentenceObj.dll,29,0,32 G! l3 T$ P2 F4 N/ m
,106,windowsMPSvcC.exe,29,0,32, p$ l1 E3 m$ F& } r, i/ O
,107,windowsvnew.bmp,29,0,32
5 K; |$ j/ P: V4 P6 z5 x,108,windowsxstring.s2g,29,0,32 t- Q& [6 l# M- v
,109,windowskwselectinfopp.dll,5,0,32
2 [7 G* P7 [, r: [! I& r+ X,110,windowskwimage.dll,29,0,32
* s2 I5 h5 L! X4 c7 M' q6 T1 S' C7 M7 X% Y7 ~
安装结束时在注册表 HKLMSOFTWAREMicrosoft 下写入 xnet2键值。并运行 system32xnet2.exe 由该程序负责自启动项和服务等的添加工作。
; H- o9 l& `3 n1 j
1 V2 j) t# \0 c; T+ ]接下来我们再看看绿坝都做了什么。2 f' Z5 | y5 I) G( a9 b/ b
1 d0 r9 d9 y, M K: N9 ^' V4 o; j安装绿X之后将会有四个进程和一个驱动被调入内存。9 `2 ~) _# P6 i6 S" y% P% O
system32XDaemon.exe守护进程,与Xnet2.exe实现交叉保护
! o# h0 R9 u/ t6 l
' q- F' ?/ D& jsystem32XNet2.exe绿坝的主程序,运行后将会启用两个线程分别监听udp 1234和1204端口:% ?, u. [; @7 y5 t5 G
/ ]5 [" J0 S( S; J: Z- @windowsHncEng.exe
, v# P- f3 Z4 T& z' G9 b/ c" E8 O服务进程
2 f$ l$ i) L% |2 d1 [2 b3 xwindowsMPSvcC.exe
* y9 ~9 R+ q9 d4 g, `# }4 H% |$ R% I8 u
看着很像微点,但是这是假象,其实它也是绿X的服务进程。. F9 i8 D3 ]7 {: ~
0 n m c# ?. y$ G& I
Driversmgtaki.sys
* X, A/ T. e+ p( V; J! A' I( U% u安装完成后被写入的驱动文件,目的不明。* ^6 \: _8 E# E% R5 G3 F( i
软件卸载时也不会被移除。4 u; [! d7 ^0 S, L: L4 g
; [% m" H/ x8 E/ K, O1 o
0 o* Z; k& t* C
4 N: @, P- {6 k9 h: W3 l绿X运行过程中会定时向 ) C: H1 q2 P. e B$ H+ B* M$ Y
进行被过滤黑名单的更新。同时会另外启用两个xnet2.exe线程,与211.161.1.134 和 203.171.236.231进行通讯,后者ip为 河南郑州景安计算机网络 ,前者是北京 长宽的一个ip,具体来源不明。
& y P; o9 e3 o9 B* ]5 t# r4 _6 R
大家都知道绿X在运行过程中会记录网站的访问和每隔三分钟对系统进行一次截屏,虽然官方信誓旦旦宣称不会泄露用户信息,但是很难保证在这些行为不明的监听和通讯中,不会把这些内容给发送出去。: d7 ?* P- L0 }' v
8 v" L( B' w: i: D8 P3 S. @更可疑的是,在xnet2.exe的语言文件xnet2_lang.ini中有这么一行1 J& d; P D' C3 M
9 H" y' P; \1 W- h" g- Show quoted text - b/ h' C! E; j, c' Y: h. f1 O
AOption0_1117=发现不良网站自动向金惠公司报告。
/ g' l% S$ b1 N: S+ `4 B( O" G8 F- V( q0 |) H
而且从网上高手对其进行逆向工程,而得来的数据来看,该软件并不像它自己说宣称的那样,只是对web访问进行监控,其进行监控的软件包括却不仅仅限于以下几十种:
. H1 A8 A. z- Lwow.exe
. v! f) D/ F$ ]. V1 nyahoomessenger.exe
% s" C& n1 \' l9 X$ C* Lwangwang.exe6 o$ B$ z4 s+ Z& D( n5 c
start.exe4 [8 I+ ^9 h/ w7 A3 @* r k
uc.exe
`6 L. t6 c. I$ v* S, _icq.exe
" n+ ~( U7 M6 Y. f0 Z0 a" bskype.exe* g8 L! I# x) ]6 u* `% W' ?
eph.exe; S+ h* ]# B( q9 M, @0 M
sgr.exe
! K7 B+ W& u5 U3 G W) }2 F5 |qqgame.exe
/ ]: q) J5 q7 O1 f7 h9 Dqqchat.exe
" O; K" G* K2 n9 [' b. [- qqq.exe
) ~$ Z3 i3 @* Sbitbomet.exe/ J1 R4 Z* r N# A1 W0 ~
editplus.exe
+ r" X' a |) N' H2 U8 Y9 ouedit32.exe
3 N# W! _: S. m& \- xemeditor.exe) N+ n, k/ S# D
wordpad.exe( L# O6 M) x* B# E7 u
notepad.exe
2 Z7 z1 ?+ Z3 |1 jwps.exe
8 E$ Q% t" @6 B3 K4 _. a% Nwpp.exe
, [6 Q7 b$ z* [, fet.exe2 K( |. ~* l! b. W+ y
powerpnt.exe2 Y. D8 B0 r- t. `2 B4 o2 |: m
frontpg.exe% p% B( G/ F1 G' r; U* e. ?6 j) G
excel.exe5 j L0 N' n5 ~, l8 Y( h5 r9 V
msaccess.exe
8 J3 ?5 v$ @6 G5 Soutlook.exe0 w e$ K+ J! W
winword.exe8 ~. e5 v2 n! z# p8 d- A( c0 @- W: @
mailmagic.exe
& Q4 N1 K! D1 D8 ], }6 G$ lpopo.exe
& T( L& H1 U4 ]# Gqqmail.exe
- z& Z$ c- Y! E( X1 Baixmail.exe! n' x, v8 ^, o+ e) |
imapp.exe
9 z/ b5 s8 ?( |8 ] L: K6 r& {: Gincmail.exe
% a& [ z) m2 w: ]. }- W4 J7 r; Fmsimn.exe
' V& g( B C S' D7 P! Cdm2005.exe
; N' [( g) g# z( ofoxmail.exe
7 K9 \) l) _9 E5 N3 o# k+ t5 cgoogletalk.exe
1 q( m8 X: r- f+ K, h, Pmiranda32.exe, d: L' u& M8 a
imu.exe4 S9 q' L$ Y! E7 {$ X) r
ypager.exe
4 s' o) F1 S# etmshell.exe
! w5 R: Y& r0 w, L: K8 |& M+ Pstart.exe
, O4 c! I2 Y: B# I" E+ F( vuc.exe
% E2 q* W: u2 h9 xicqchatrobot.exe8 d1 g7 O0 K) ~2 A9 y
qq.exe$ p3 M! \: b# [! D' \ ]
msnmsgr.exe" { f& e% e7 b" S
gsfbwsr.exe
, y3 R9 H% |% K; z" M/ ]. z& bgreenbrowser.exe
3 p7 F" n; V. O2 Xtouchnet.exe/ C2 ~9 B+ e* F2 Z
theworld.exe
. t) B* ]) n. W1 |. L' }- Y1 ^maxthon.exe$ Q8 j: A) A6 `/ r5 y
ttraveler.exe/ H+ ]. F2 r. `1 H1 y( U; K
netscp.exe
# `; R+ C8 C- P6 X7 b7 ~0 }& i5 lge.exe% E8 e- f/ [& A3 j& c; L0 P
firefox.exe
7 x2 R# D! A3 S- h7 R! Popera.exe, c9 M# x8 D. s( Y5 }: Q
netcaptor.exe
8 F1 G6 p/ Z0 @# r5 ?9 Lmyie.exe
& j I5 _1 D6 i, ]- Oiexplore.exe
) {( t1 E3 j' d. gmmc.exe
( p$ C2 M5 R) K" _, W' Zregedit.exe
: D6 d" @) X) v' z4 ftaskmgr.exe7 a) [' z8 P4 C" e
mpsvcc.exe
7 }( T! F' [" J3 F; Cxdaemon.exe
: v& O! _# Q* ]8 r l6 Zxnet2.exe- l" L& V& @& j8 a$ \ q
(以上信息来自SoFuc.Com所进行的逆向)
7 g/ W! M6 u* ?( t* o: c1 n6 ^7 I! R @8 u6 n$ a7 Z
绿X还对ie浏览器进程注入dll,以至于被360当成恶意插件报毒。+ n% u- Q- R0 c. R# Z& b2 E1 Q# Q
7 M% {* R( d. V; z# `2 [' R/ a
该软件在监控时将发起大量的全局钩子,也就是说,只要它想,我们所看的网页,和别人聊天的内容,下载的东西,网购的物品,信箱里的邮件,游戏的帐号,设置与编写的文档,做的ppt都可以被它轻易搞到手。又有谁可能保证,它没有在这样做呢?" `) C* r9 z& R. z: \/ P' s: _
8 G- J' k6 I0 E
除此之外,该软件还做了一些不能见光的手脚。它的端口配置文件filtport.dat定义了如下内容:* c# a* |0 I Z, d# q
* p$ o1 t" z& i! k
FreeGate/8567/tcp Urf/9666/tcp 这个文件的作用很明显,屏蔽常见的代理软件FreeGate。在未来的更新中它更是可以在其中加入3128 1080 8080之类的端口 来禁止我们使用代理服务器。具体目的不言而喻。
8 n) a5 b( ~4 C3 C4 I, p) O, t3 Q* T4 ?
* j3 e. A( y! t _$ ?3 R! \ 如此强悍的设计,那我们这套价值4000万的软件就真的如此物超所值了吗?6 i# C- Z' r2 X$ m. }7 X2 n# G
$ x2 l; i% U, j0 N 实际上并非如此。由于先天的技术缺陷和粗制滥造,使得软件存在许多脑残问题。譬如,绿X并不像它所宣称的那样,对全系列Windows都能够完美支持。在XP以下系统漏洞百出,尤其是IE版本低下时,更是充当了“摆设”的作用。5 u- }2 B: k/ t! k) q" j, y: p2 x
' [2 R. a! Y% a2 A4 m5 d* H' K
而在Vista下经常完美的被用户账户控制干掉,且十分不稳定。% _. p( I/ _0 j5 ]
即使在状态最佳的XP下,也有让人跌破眼镜的表现。网站过滤功能,居然只能在IE下生效,即使是同属IE内核的遨游之流都能时常时它失效。用火狐,谷歌这类非IE内核浏览器时,更是一点反映都没有。绿X,色情网站和平共处,甚是和谐。5 }# [2 p! x$ n: \$ N/ Y
5 n7 H, J( e4 y# ~! A0 ~( ?
那么作为一款过滤软件,自身保护能力应该很强吧?绿X的答案是不,这让我们再一次跌破另一副眼镜。它的四个进程除了以两个为一组,有交互保护(当其中一个被结束,另一个将会重新运行它)之外,其他可以说是一点防护都没有。就不要说用冰剑之类的工具,就连常见的文件粉碎机就可以将其置于死地。0 s- z7 j7 T0 j
" E; _7 o3 ?: \" P8 b$ W. e6 j4 S
4 h1 Z3 U0 F% z2 _, s4 R 更可笑的,它的程序员们还犯了一个更加低级的错误。绿X的管理密码,通过类似于MD5的加密之后,储存在WINDOWSsystem32kwpwf.dll文件中,搞笑的是该文件并没有收到任何程序的保护,单凭一记事本就可以大改其中内容。我们只要把知道密码的绿坝的WINDOWSsystem32kwpwf.dll文件中的内容复制到不知道密码的那个绿X的WINDOWSsystem32kwpwf.dll下,就相当于改变其密码了。也就是说,我们只要把WINDOWSsystem32kwpwf.dll的内容改为“D0970714757783E6CF17B26FB8E2298F”,那么绿X的管理密码就变回了默认的112233。
g0 e! I S! Z1 }9 u
# o$ L) v7 P1 r5 a4 l6 }" r! o5 A$ M# Z/ d* ~
这软件的设计者是猪啊,4000多万,都够开发一套小型的OS的成本了,确换来如此粗制滥造,设计低劣的软件的仅仅一年的使用权?合法招标?潜规则所花费的金额如果不占这笔巨款的一半都不会有人信。" }+ g. M# l( t, r" ^
& W3 f5 P, _) ~1 e 最后我们来试着通过绿X所提供的卸载途径卸载了它,看看这号称可以自由装卸,自由停用的软件是什么一副流氓嘴脸。1 w S$ U9 D+ _0 T; A% p4 W
6 W7 L$ _6 p) L7 B' K& t9 e8 b" p6 q; L' X
绿X在正常安装之后开始菜单中并不会创建其卸载程序的快捷方式,甚至于添加删除程序中都没有相关内容。那卸载项藏在哪儿呢?答案在绿X的设置中。然而即使我们使用它所提供的卸载功能对其进行卸载之后,文章一开始所提到的110个文件还会有多一半存在于我们的系统中,纹丝不动。重启之后其监控程序甚至还会大摇大摆的出现在我们的进程当中,不过这次不再提供管理面板就是了。
- e6 L; z2 \% [7 [. S% C1 c D) D
( [2 }. _& Z Q 未经用户同意强制安装(强行预装),通过其卸载程序无法将其完整移除这是判断流氓软件的两条准则,而这个绿坝完美得全部符合。它的存在真的是为了保护未成人收到色情网站的毒害吗?未必,监视大量应用程序,定时对系统进行截图,对代理软件进行**,然后将用户电脑中的各种资料秘密传往某处。 |
|
IP卡
狗仔卡
发表于 2009-6-15 11:39
微信
收藏
分享
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
...内幕啊!!!且看绿坝怎样下得了台
